oVirt om 2 timer. Del 3. Ytterligere innstillinger

I denne artikkelen vil vi se på en rekke valgfrie, men nyttige innstillinger:

• ved å bruke tilleggsnavn for lederen;
• kobler autentisering via Active Directory;
• Mutlipathing;
• strømstyring;
• erstatte SSL-sertifikat;
• arkivering;
• vertsadministrasjonsgrensesnitt (cockpit);
• VLAN;
• HPE spesifikk.

Denne artikkelen er en fortsettelse, se oVirt om 2 timer for begynnelsen Часть 1 и del 2.

Artikler

1. Innledning
2. Installasjon av manager (ovirt-motor) og hypervisorer (verter)
3. Ytterligere innstillinger - Vi er her

Ytterligere administratorinnstillinger

For enkelhets skyld installerer vi tilleggspakker:

$ sudo yum install bash-completion vim

For å aktivere kommandofullføring, krever bash-fullføring å bytte til bash.

Legger til flere DNS-navn

Dette vil være nødvendig når du trenger å koble til administratoren ved å bruke et alternativt navn (CNAME, alias eller bare et kort navn uten domenesuffiks). Av sikkerhetsgrunner tillater lederen tilkoblinger kun ved å bruke den tillatte listen over navn.

Opprett en konfigurasjonsfil:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

følgende innhold:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

og start administratoren på nytt:

$ sudo systemctl restart ovirt-engine

Sette opp autentisering via AD

oVirt har en innebygd brukerbase, men eksterne LDAP-leverandører støttes også, inkl. A.D.

Den enkleste måten for en typisk konfigurasjon er å starte veiviseren og starte administratoren på nytt:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Et eksempel på et masterarbeid
$ sudo ovirt-engine-extension-aaa-ldap-oppsett
Tilgjengelige LDAP-implementeringer:
...
3 - Active Directory
...
Vennligst velg: 3
Vennligst skriv inn Active Directory-skogens navn: example.com

Vennligst velg protokollen som skal brukes (startTLS, ldaps, plain) [startTLS]:
Velg metode for å få PEM-kodet CA-sertifikat (fil, URL, innebygd, system, usikker): URL
URL: wwwca.example.com/myRootCA.pem
Skriv inn søkebruker-DN (for eksempel uid=brukernavn,dc=eksempel,dc=com eller la stå tomt for anonym): CN=oVirt-Engine,CN=Brukere,DC=eksempel,DC=com
Skriv inn søkebrukerpassord: *passord*
[ INFO ] Forsøker å binde ved hjelp av «CN=oVirt-Engine,CN=Users,DC=example,DC=com»
Skal du bruke Single Sign-On for virtuelle maskiner (Ja, Nei) [Ja]:
Vennligst spesifiser profilnavn som vil være synlig for brukere [example.com]:
Vennligst oppgi legitimasjon for å teste påloggingsflyten:
Skriv inn brukernavn: someAnyUser
Skriv inn brukerpassord:
...
[INFO] Påloggingssekvens utført
...
Velg testsekvens som skal utføres (Ferdig, Avbryt, Logg inn, Søk) [Ferdig]:
[INFO] Stadium: Transaksjonsoppsett
...
SAMMENDRAG AV KONFIGURASJON
...

Bruk av veiviseren passer i de fleste tilfeller. For komplekse konfigurasjoner utføres innstillingene manuelt. Flere detaljer i oVirt-dokumentasjonen, Brukere og roller. Etter vellykket tilkobling av motoren til AD, vil en ekstra profil vises i tilkoblingsvinduet og på fanen Tillatelser Systemobjekter har muligheten til å gi tillatelser til AD-brukere og -grupper. Det skal bemerkes at den eksterne katalogen over brukere og grupper ikke bare kan være AD, men også IPA, eDirectory, etc.

Flervei

I et produksjonsmiljø må lagringssystemet være koblet til verten via flere uavhengige, flere I/O-baner. Som regel er det i CentOS (og derfor oVirt) ingen problemer med å sette sammen flere baner til en enhet (find_multipaths ja). Ytterligere innstillinger for FCoE er skrevet inn 2. del. Det er verdt å ta hensyn til anbefalingen fra lagringssystemprodusenten - mange anbefaler å bruke round-robin-policyen, men som standard i Enterprise Linux 7 brukes tjenestetid.

Bruker 3PAR som eksempel
og dokumentere Implementeringsveiledning for HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux og OracleVM Server EL er opprettet som en vert med Generic-ALUA Persona 2, hvor følgende verdier legges inn i innstillingene /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Deretter gis kommandoen for å starte på nytt:

systemctl restart multipathd

Ris. 1 er standard multippel I/U-policy.

Ris. 2 - flere I/O-policyer etter bruk av innstillinger.

Sette opp strømstyring

Lar deg utføre for eksempel en maskinvaretilbakestilling av maskinen hvis motoren ikke er i stand til å motta svar fra verten over lengre tid. Implementert gjennom Gjerdeagent.

Beregn -> Verter -> HOST — Rediger -> Strømstyring, aktiver deretter "Aktiver strømstyring" og legg til en agent - "Legg til gjerdeagent" -> +.

Vi angir typen (for eksempel for iLO5 må du spesifisere ilo4), navnet/adressen til ipmi-grensesnittet, samt brukernavnet/passordet. Det anbefales å opprette en separat bruker (for eksempel oVirt-PM) og, i tilfelle av iLO, gi ham privilegier:

• Logg inn
• Fjernkonsoll
• Virtuell kraft og tilbakestilling
• Virtuelle medier
• Konfigurer iLO-innstillinger
• Administrer brukerkontoer

Ikke spør hvorfor det er slik, det ble valgt empirisk. Konsollgjerdeagenten krever færre rettigheter.

Når du setter opp tilgangskontrolllister, bør du huske på at agenten ikke kjører på motoren, men på en "nabo" vert (den såkalte Power Management Proxy), dvs. hvis det bare er en node i klyngen, strømstyring vil fungere vil ikke.

Sette opp SSL

Fullstendige offisielle instruksjoner - in dokumentasjon, Vedlegg D: oVirt og SSL — Erstatter oVirt Engine SSL/TLS-sertifikatet.

Sertifikatet kan enten være fra vår bedrifts-CA eller fra en ekstern kommersiell sertifiseringsinstans.

Viktig merknad: Sertifikatet er ment for tilkobling til lederen og vil ikke påvirke kommunikasjonen mellom motoren og nodene - de vil bruke selvsignerte sertifikater utstedt av motoren.

krav:

• sertifikat for den utstedende CA i PEM-format, med hele kjeden opp til rot-CA (fra den underordnede utstedende CA i begynnelsen til roten på slutten);
• et sertifikat for Apache utstedt av den utstedende CA (også supplert med hele kjeden av CA-sertifikater);
• privat nøkkel for Apache, uten passord.

La oss anta at vår utstedende CA kjører CentOS, kalt subca.example.com, og forespørslene, nøklene og sertifikatene er plassert i katalogen /etc/pki/tls/.

Vi utfører sikkerhetskopier og oppretter en midlertidig katalog:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Last ned sertifikater, utfør det fra arbeidsstasjonen eller overfør det på en annen praktisk måte:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Som et resultat bør du se alle 3 filene:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Installerer sertifikater

Kopier filene og oppdater klareringslistene:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Legg til/oppdater konfigurasjonsfiler:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Deretter starter du alle berørte tjenester på nytt:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Klar! Det er på tide å koble til administratoren og sjekke at tilkoblingen er beskyttet av et signert SSL-sertifikat.

Arkivering

Hvor ville vi vært uten henne? I denne delen vil vi snakke om lederarkivering; VM-arkivering er et eget problem. Vi vil lage arkivkopier en gang om dagen og lagre dem via NFS, for eksempel på samme system der vi plasserte ISO-bildene - mynfs1.example.com:/exports/ovirt-backup. Det anbefales ikke å lagre arkiver på samme maskin som motoren kjører.

Installer og aktiver autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

La oss lage et skript:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

følgende innhold:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Gjøre filen kjørbar:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Nå hver kveld vil vi motta et arkiv med lederinnstillinger.

Vertsadministrasjonsgrensesnitt

Cockpit — et moderne administrativt grensesnitt for Linux-systemer. I dette tilfellet utfører den en rolle som ligner på ESXi-nettgrensesnittet.

Ris. 3 — panelets utseende.

Installasjonen er veldig enkel, du trenger cockpitpakkene og cockpit-ovirt-dashboard-plugin:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Aktivering av cockpit:

$ sudo systemctl enable --now cockpit.socket

Brannmuroppsett:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Nå kan du koble til verten: https://[Verts-IP eller FQDN]:9090

VLAN

Du bør lese mer om nettverk i dokumentasjon. Det er mange muligheter, her vil vi beskrive å koble til virtuelle nettverk.

For å koble til andre undernett må de først beskrives i konfigurasjonen: Nettverk -> Nettverk -> Nytt, her er kun navnet et obligatorisk felt; VM Network-avmerkingsboksen, som lar maskiner bruke dette nettverket, er aktivert, men for å koble til må taggen være aktivert Aktiver VLAN-tagging, skriv inn VLAN-nummeret og klikk OK.

Nå må du gå til Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Dra det tilførte nettverket fra høyre side av ikke-tilordnede logiske nettverk til venstre til tilordnede logiske nettverk:

Ris. 4 - før du legger til et nettverk.

Ris. 5 - etter å ha lagt til et nettverk.

For å koble flere nettverk til en vert i bulk, er det praktisk å tilordne en etikett(er) til dem når du oppretter nettverk, og legge til nettverk etter etiketter.

Etter at nettverket er opprettet, vil vertene gå inn i ikke-operativ tilstand til nettverket er lagt til alle noder i klyngen. Denne oppførselen er forårsaket av Krev alle-flagget i kategorien Klynge når du oppretter et nytt nettverk. I tilfelle nettverket ikke er nødvendig på alle noder i klyngen, kan dette flagget deaktiveres, så når nettverket legges til en vert, vil det være til høyre i delen Ikke nødvendig, og du kan velge om du vil koble til det til en bestemt vert.

Ris. 6 – velg et nettverkskravattributt.

HPE spesifikk

Nesten alle produsenter har verktøy som forbedrer brukervennligheten til produktene deres. Ved å bruke HPE som eksempel, er AMS (Agentless Management Service, amsd for iLO5, hp-ams for iLO4) og SSA (Smart Storage Administrator, arbeider med en diskkontroller), etc. nyttige.

Koble til HPE-depotet
Vi importerer nøkkelen og kobler til HPE-lagrene:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

følgende innhold:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Se lagerinnhold og pakkeinformasjon (for referanse):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Installasjon og lansering:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Et eksempel på et verktøy for å jobbe med en diskkontroller

Det er alt for nå. I de følgende artiklene planlegger jeg å snakke om noen grunnleggende operasjoner og applikasjoner. For eksempel hvordan lage VDI i oVirt.

Kilde: www.habr.com